Struktura prostej sieci

Wszystko co nie mieści się w pozostałych kategoriach
Wiadomość
Autor
emariusek
fresh
fresh
Posty: 4
Rejestracja: 10 lip 2015, 11:47

Struktura prostej sieci

#1

#1 Post autor: emariusek »

Witam,
Mam pewien problem. Mam za zadanie zbudować prostą sieć dla kilku komputerów opartą o Windows Server (lub otwarte oprogramowanie, np. Zentyal Linux) z możliwością dostępu do niej z Internetu poprzez VPN.
W sieci znalazłem jakiś graf, ale dokonałem kliku poprawek i teraz mam klika pytań...

Założenie jest takie, że na stacji roboczej będą mnimum 2 karty sieciowe. Jedna będzie tą wewnętrzną, druga zewnętrzną (ewentualnie całość można by postawić jako maszyna wirtualna).

I teraz tak... Rysunek 1 (p.s. chmurka na dole po prawo jest zbędna):
Skoro serwer jest w sekcji LAN-owej, to na jednej z dwóch kart nie przydzielę publicznego adresu IP, tylko będę musiał zastosować NAT-owanie, zgadza się?
Gdzie wtedy uruchomić serwer VPN? Na routerze czy na serwerze (np. OpenVPN)?

Rysunek 2
Rolę routera zastąpiłem serwerem. Czy takie rozwiązanie byłoby lepsze? Wtedy VPN uruchamiam na serwerze, z jednej strony mam publiczny adres IP, a z drugiej prywatne adresu dla LAN-u.

W obu przypadkach chciałbym też wstawić jakiegoś firewalla. Myślałem nad pfSense. Gdzie powinienem go wtedy umieścić? Przy opcji 1 między routerem, a przełącznikiem? Przy opcji drugiej między "Internetem" a serwerem?

1.
Obrazek
2.
Obrazek

Dzięki za wszystkie sugestie :)

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Struktura prostej sieci

#2

#2 Post autor: lbromirs »

emariusek pisze:Witam,
Mam pewien problem. Mam za zadanie zbudować prostą sieć dla kilku komputerów opartą o Windows Server (lub otwarte oprogramowanie, np. Zentyal Linux) z możliwością dostępu do niej z Internetu poprzez VPN.
To zadanie w szkole czy realne w Twojej pracy?
emariusek pisze:W sieci znalazłem jakiś graf, ale dokonałem kliku poprawek i teraz mam klika pytań...
Topologię. Topologię sieciową. Grafy są w matematyce.
emariusek pisze:Założenie jest takie, że na stacji roboczej będą mnimum 2 karty sieciowe. Jedna będzie tą wewnętrzną, druga zewnętrzną (ewentualnie całość można by postawić jako maszyna wirtualna).
Generalnie nie stosuje się już dwóch osobnych kart sieciowych, ponieważ jeśli host zostanie skompromitowany, to czy ma jedną czy dwie karty sieciowe nie ma i tak już żadnego znaczenia. Wydziela się segmenty lub tak jak napisałeś - maszyny wirtualne.
emariusek pisze:I teraz tak... Rysunek 1 (p.s. chmurka na dole po prawo jest zbędna):
Jeśli masz zadanie do wykonania, obojętnie czy do szkoły czy do pracy, zainwestuj w jasny, klarowny rysunek topologii. Bez tego dyskusje o tym na co patrzeć a na co nie, są niepoważne.
emariusek pisze:Skoro serwer jest w sekcji LAN-owej, to na jednej z dwóch kart nie przydzielę publicznego adresu IP, tylko będę musiał zastosować NAT-owanie, zgadza się?
Gdzie wtedy uruchomić serwer VPN? Na routerze czy na serwerze (np. OpenVPN)?
Serwerów nie umieszcza się w segmencie (nie sekcji) LAN. Serwery stoją w segmencie DMZ.

VPNy uruchamia się na routerze/firewallu.
emariusek pisze:Rysunek 2
Rolę routera zastąpiłem serwerem. Czy takie rozwiązanie byłoby lepsze?
Sieciowiec odpowie że nie, administrator że tak. Dlatego zwykle to sieciowcy decydują o tym co i jak i tzw. bezpiecznicy zwykle rekrutują się jednak z sieciowców.

emariusek
fresh
fresh
Posty: 4
Rejestracja: 10 lip 2015, 11:47

#3

#3 Post autor: emariusek »

Takie zadanie postanowiłem sobie postawić w mojej pracy dyplomowej. Prosta sieć oparta o AD lub rozwiązania otwarte z dostępem zdalnym. Niemniej jednak nie bardzo wiem, w jaki sposób ugryźć ten zdalny dostęp i wirtualizację.
Dokonałem kilku poprawek. Czy teraz topologia ma większy sens? Maszyna wirtualna zawiera teraz w sobie dodatkowo przestrzeń dyskową itp.
Nie jestem do końca pewien czy dobrze umieściłem strefę DMZ?

3.
Obrazek
Ostatnio zmieniony 10 lip 2015, 13:03 przez emariusek, łącznie zmieniany 2 razy.

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

#4

#4 Post autor: lbromirs »

emariusek pisze:Takie zadanie postanowiłem sobie postawić w mojej pracy dyplomowej. Prosta sieć oparta o AD lub rozwiązania otwarte z dostępem zdalnym. Niemniej jednak nie bardzo wiem, w jaki sposób ugryźć ten zdalny dostęp i wirtualizację.
Dokonałem kilku poprawek. Czy teraz topologia ma większy sens? Maszyna wirtualna zawiera teraz w sobie dodatkowo przestrzeń dyskową itp.
Nie jestem do końca pewien czy dobrze umieściłem strefę DMZ?

3.
[url=http://iv.pl/images/07593372323515963083_thumb.jpg]Image[/URL]
Może tak być, choć teraz bardziej wygląda to na aplikacyjne proxy.

Rozumiem, że chcesz stosować pfSense z uwagi na to, że trzeba będzie do pracy zbudować środowisko? A nie chcesz pożyczyć jakiejś ASA lub routera od nas i zrobić to porządnie?

emariusek
fresh
fresh
Posty: 4
Rejestracja: 10 lip 2015, 11:47

#5

#5 Post autor: emariusek »

Generalnie całość chciałbym ustawić tak, aby można było zbudować infrastrukturę sieciową w pełni (lub po części) stosując właśnie rozwiązania otwarte oparte na linuxie. Stąd właśnie próbuję zastąpić Windows Server - Zentyalem, Exchange - OpenChangem, a sprzętowe firewalle/ASy - pfSensem.
Do tego gdzieś po drodze jakiś Zabbix.
A może wystarczyłoby, że w rysunku pierwszym to, co jest związane z serwerem zastąpić właśnie maszyną wirtualną i całość dać w DMZ i będzie po kłopocie (oczywiście dodając po drodze firewalla)?

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Struktura prostej sieci

#6

#6 Post autor: PatrykW »

emariusek pisze:Witam,
Mam pewien problem. Mam za zadanie zbudować prostą sieć dla kilku komputerów opartą o Windows Server (lub otwarte oprogramowanie, np. Zentyal Linux) z możliwością dostępu do niej z Internetu poprzez VPN.
W sieci znalazłem jakiś graf, ale dokonałem kliku poprawek i teraz mam klika pytań...

Założenie jest takie, że na stacji roboczej będą mnimum 2 karty sieciowe. Jedna będzie tą wewnętrzną, druga zewnętrzną (ewentualnie całość można by postawić jako maszyna wirtualna).

I teraz tak... Rysunek 1 (p.s. chmurka na dole po prawo jest zbędna):
Skoro serwer jest w sekcji LAN-owej, to na jednej z dwóch kart nie przydzielę publicznego adresu IP, tylko będę musiał zastosować NAT-owanie, zgadza się?
Gdzie wtedy uruchomić serwer VPN? Na routerze czy na serwerze (np. OpenVPN)?

Rysunek 2
Rolę routera zastąpiłem serwerem. Czy takie rozwiązanie byłoby lepsze? Wtedy VPN uruchamiam na serwerze, z jednej strony mam publiczny adres IP, a z drugiej prywatne adresu dla LAN-u.

W obu przypadkach chciałbym też wstawić jakiegoś firewalla. Myślałem nad pfSense. Gdzie powinienem go wtedy umieścić? Przy opcji 1 między routerem, a przełącznikiem? Przy opcji drugiej między "Internetem" a serwerem?

1.
[url=http://iv.pl/images/70696529696565154788_thumb.jpg]Image[/URL]
2.
[url=http://iv.pl/images/99149815722127808104_thumb.jpg]Image[/URL]

Dzięki za wszystkie sugestie :)
Hej

Czytam, czytam i za cholerę nie rozumiem. Co za rzeźbę chcesz zrobić ?

Masz serwery produkcyjne typu AD itd. Postaw to w DMZ. Zaplanuj odpowiednia adresacje IP dla DMZ np 10.0.1.0/24

Masz sieć LAN. Zaplanuj odpowiednia adresacje IP 172.16.1.0/24 - dla pierwszego oddziału, 172.16.2.0/24 dla kolejnego.

Pamiętaj aby użyć dedykowanego switcha dla DMZ, dedykowanego dla LAN, a nad SW-LAN i SW-DMZ postaw główny switch SW-AGG
(możesz w swojej pracy wspomnieć o HSRP czy jak kto woli STACK) podczas takiego scenariusza dajesz dwa switche SW-AGG1 oraz SW-AGG2 i agregujesz linki do niższych warstw.

Z punktu widzenia twojej pracy, taki projekt ma to coś, wtedy widać że się skupiasz na technologiach.
Do tego stawiasz firewalla, terminujesz ruch, tworzysz polityki, konfigurujesz VPN (poczytaj o UTM) itepe itede.

Chcesz dać 2 x NIC od serwera, fajnie, zatem z agreguje te połączenia. Dostaw jeszcze jeden switch w DMZ. SW-DMZ1 oraz SW-DMZ2 i pomiędzy nimi podłącz ten serwer. Zachowasz jakiś poziom bezpieczeństwa. Chcesz więcej ? Zbuduj klaster. Microsoft Windows Server oferuje taki ficzer. Czyli dwa serwer powiedzmy AD postawione jako wirtualna maszyna na ESX (vmware) który jest zapięty dwoma linkami do DMZ1 oraz DMZ2 switch.

Albo zrób klaster dwóch fizycznych serwerów (hostów) z vmware, i na każdymz hostów postaw AD, zrób klaster, a host zapnij do SW-DMZ1 oraz SW-DMZ2 switch. Wtedy masz fajnie :)

Twój projekt będzie soczysty ;]

Takie jest moje zdanie.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

emariusek
fresh
fresh
Posty: 4
Rejestracja: 10 lip 2015, 11:47

Re: Struktura prostej sieci

#7

#7 Post autor: emariusek »

Wojtachinho pisze: Czytam, czytam i za cholerę nie rozumiem. Co za rzeźbę chcesz zrobić ?
AD+VPN w małej firmie :D
I zastanawiałem się jak będzie najlepiej łączyć się po VPN-ie. Czy na router czy na serwer(VM/stacja robocza z 2xNIC). No i dwie opcje...

Rysunek2.
INTERNET --- Firewall --- [DMZ - Serwer Zentyal Linux jako router z 2xNIC (AD+VPN+etc.)] --- Switch --- LAN

Rysunek 3.
INTERNET --- Router(i tutaj VPN) --- Firewall --- [DMZ, a w nim VM] --- Switch --- LAN

Czy mniej więcej o to Ci chodziło w Twojej wypowiedzi (poza klasterem)?
Obrazek

ODPOWIEDZ